Erkennung der MacStealer macOS-Malware: Neue bösartige Variante stiehlt Benutzeranmeldedaten aus dem iCloud-Schlüsselbund
Inhaltsverzeichnis:
Achtung! Ein neuartiger Infostealer sorgt für Aufsehen in der Cybersicherheitslandschaft, indem er macOS-Nutzer ins Visier nimmt. Cybersicherheitsforscher haben einen neuartigen MacStealer-MacOS-Schadsoftware beobachtet, der Benutzeranmeldeinformationen und andere sensible Daten stiehlt, die im iCloud-Schlüsselbund, in Webbrowsern und in Krypto-Wallets gespeichert sind.
Erkennung von MacStealer MacOS Malware
Als ein weiteres Infostealing-Malware, das im Cyberspace innerhalb des letzten Monats auftaucht, gewinnt MacStealer aufgrund seines relativ niedrigen Preises und seiner umfassenden bösartigen Fähigkeiten an Popularität in den Untergrundforen. Um Sicherheitsmaßnahmen gegen neuartige Malware-Stämme zu optimieren, benötigen Sicherheitspraktiker eine verlässliche Quelle für Erkennungsmaterial, um mögliche Angriffe in den frühesten Entwicklungsstadien zu erkennen.
Die Detection as Code-Plattform von SOC Prime bietet eine spezialisierte Sigma-Regel von unserem erfahrenen Threat Bounty-Entwickler Mustafa Gurkan KARAKAYA um mögliche MacStealer-Infektionen zu erkennen.
Verdächtiger MacStealer Malware Exfiltrations-Webverkehr (über Proxy)
Die obige Regel erkennt POST-Anfragen der MacStealer-Malware zu URI-Pfaden, von denen bekannt ist, dass sie mit den von MacStealer genutzten Command and Control-Servern zur Exfiltration gestohlener Zip-Dateien in Verbindung stehen. Die Erkennung ist mit 18 SIEM-, EDR- und XDR-Plattformen kompatibel und ist der MITRE ATT&CK® Framework v12 zugeordnet, das Exfiltrationstaktiken adressiert, mit Exfiltration über C2-Kanal (T1041) als Haupttechnik.
Threat Hunters und Detection Engineers, die hungrig darauf sind, ihre Sigma- und ATT&CK-Fähigkeiten zu verfeinern und anderen helfen wollen, gegen aufkommende Bedrohungen zu verteidigen, können auf das SOC Prime Threat Bounty Programzurückgreifen. Durch die Teilnahme an dieser Crowdsourcing-Initiative können Cybersicherheitsexperten ihre eigenen Sigma-Regeln erstellen, die auf ATT&CK abgebildet sind, sie mit der globalen Cyberverteidiger-Community teilen und für ihre Beiträge wiederkehrende Auszahlungen erhalten.
Um sofort auf ein Set von Sigma-Regeln zur Erkennung von infostealing Malware-Familien zuzugreifen, klicken Sie auf den Erkennung durchsuchen Knopf unten. Vertiefen Sie den umfassenden Cybersicherheitskontext, einschließlich MITRE ATT&CK-Referenzen, Bedrohungsinformationen, ausführbaren Binärdateien und Minderungen für ein optimiertes Bedrohungsforschung.
MacStealer-Angriffskettenanalyse
Sicherheitsforscher beobachten eine wachsende Zahl von Malware-as-a-Service (MaaS)-Deals, die auf diesem Einnahmemodell basieren. Bedrohungsakteure bereichern ihr Gegner-Toolkit und verbessern offensive Fähigkeiten. Das MaaS-Einnahmemodell hat in den letzten Jahren an Fahrt gewonnen und trägt zur massenhaften Verbreitung verschiedener Malware-Stämme bei, wie Eternity malware and RedLine Stealer.
Im März 2023 ist ein weiteres Infostealin-Malware namens MacStealer, das mittels des MaaS-Modells verbreitet wird, in der Cybersicherheitsarena aufgetaucht. Die MacStealer MacOS-Software kann Benutzerpasswörter, Cookies und Kreditkartendetails aus beliebten Webbrowsern und der iCloud-KeyChain-Datenbank erfassen und mehrere Dateitypen extrahieren, um sensible Daten zu stehlen.
Laut dem Bericht der Uptycs Cybersicherheitsforscher , die den neuartigen Malware-Stamm enthüllten, kann die MacStealer-Infostaling-Malware macOS Catalina und nachfolgende Softwareversionen betreffen, die auf Intel M1 und M2 CPUs laufen.
Bedrohungsakteure verteilen MacStealer über eine .dmg-Datei. Nach der Ausführung verwendet diese eine betrügerische Passwortaufforderung, um Benutzeranmeldeinformationen zu sammeln, indem sie eine spezielle Befehlszeilenoperation nutzt. Sobald das Opfer seine Anmeldeinformationen bereitstellt, stiehlt MacStealer die kompromittierten Daten und speichert sie im Systemverzeichnis. Nachdem die gestohlenen Benutzerdaten archiviert wurden, sendet die Malware sie an den C2-Server, indem sie eine POST-Anfrage verwendet und danach die Daten zusammen mit der entsprechenden ZIP-Datei entfernt. Der Remote-C2-Server teilt die ZIP-Datei auch mit dem vorkonfigurierten Telegram-Bot, den Hacker verwenden, um die vom kompromittierten System abgerufenen Daten zu exfiltrieren.
Mit den wachsenden Mengen an Malware-Stämmen, die im MaaS-Verfahren verbreitet werden und auf Windows-, Linux- und macOS-Nutzer abzielen, suchen Cyber-Verteidiger nach relevanten Erkennungsinhalten, die sofort verfügbar sind und in mehreren Sicherheitslösungen angewendet werden können, um Organisationen bei der Überwindung von SIEM-Migrationsherausforderungen zu unterstützen. Der plattformunabhängige und multi-cloud-Ansatz von SOC Prime ermöglicht es Sicherheitsteams, die Entwicklungszeit zu verkürzen und Migrationskosten zu optimieren, indem sie Uncoder AI, das AI-unterstützte Tool für fortschrittliches Detection Engineering nutzen. Entfesseln Sie die Kraft der KI, um fehlerlosen Erkennungscode zu schreiben und ihn in 27+ SIEM-, EDR- und XDR-Lösungen sofort umzuwandeln.
